Windows

Phần mềm độc hại của máy chủ web ẩn chứa

Em chờ anh - một tri kỷ để săn sóc, nâng đỡ nhau trên đường đời

Em chờ anh - một tri kỷ để săn sóc, nâng đỡ nhau trên đường đời
Anonim

Một chương trình phần mềm độc hại lén lút đang giữ trong một số máy chủ Web phổ biến nhất, và các nhà nghiên cứu vẫn không biết tại sao.

Tuần trước, các công ty bảo mật Eset và Sucuri đã tìm thấy các máy chủ Apache bị nhiễm Linux / Cdorked. Nếu phần mềm độc hại đó đang chạy trên máy chủ Web, nạn nhân sẽ được chuyển hướng đến một trang web khác cố xâm phạm máy tính của họ.

Eset cho biết hôm nay đã tìm thấy phiên bản Linux / Cdorked cho các máy chủ Web Lighttpd và Nginx. được sử dụng trên Internet.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi máy tính Windows của bạn]

Marc-Etienne M. Leveille của Eset đã viết rằng công ty đã phát hiện 400 máy chủ web bị lây nhiễm cho đến nay, trong đó có 50 máy chủ được xếp hạng trong 100.000 trang web hàng đầu của công ty phân tích web của Alexa.

"Chúng tôi vẫn không biết chắc chắn cách phần mềm độc hại này được triển khai trên máy chủ web", Leveille viết. "Có một điều rõ ràng, phần mềm độc hại này không tự lan truyền và nó không khai thác lỗ hổng trong một phần mềm cụ thể."

Linux / Cdorked đã hoạt động từ ít nhất là tháng 12. Nó chuyển hướng khách truy cập đến một trang web bị xâm phạm khác lưu trữ bộ công cụ khai thác lỗ hổng Blackhole, một chương trình độc hại kiểm tra máy tính cho các lỗ hổng phần mềm. Leveille đã viết. Những người sử dụng iPad hoặc iPhone không được chuyển hướng đến bộ công cụ khai thác mà thay vào đó là các trang web khiêu dâm.

Mẫu của tên miền mà mọi người được chuyển hướng cho thấy kẻ tấn công cũng đã xâm nhập vào một số máy chủ DNS (Domain Name System), Leveille viết.

Phần mềm độc hại cũng sẽ không tấn công nếu một người ở trong phạm vi IP nhất định hoặc "ngôn ngữ của trình duyệt internet của nạn nhân được đặt thành tiếng Nhật, tiếng Phần Lan, tiếng Nga và tiếng Ukraina, tiếng Kazakh hoặc tiếng Belarus", Leveille viết. Leveille đã viết: "Chúng tôi tin rằng các nhà khai thác đằng sau chiến dịch phần mềm độc hại này đang nỗ lực đáng kể để duy trì hoạt động của họ dưới radar và cản trở nỗ lực giám sát càng nhiều càng tốt". "Đối với họ, không bị phát hiện có vẻ là một ưu tiên trong việc lây nhiễm càng nhiều nạn nhân càng tốt."

Linux / Cdorked là lén lút nhưng không thể phát hiện được. Nó để lại một mã nhị phân httpd đã sửa đổi trên ổ đĩa cứng, có thể được phát hiện.

Nhưng các lệnh được gửi bởi những kẻ tấn công vào Linux / Cdorked không đăng nhập vào nhật ký Apache bình thường, và chuyển hướng gửi mọi người đến một trang web độc hại- chỉ chạy trong bộ nhớ chứ không phải trên ổ cứng, Eset đã viết tuần trước.

Phần mềm độc hại, mà BitDefender gọi là "Trojan.PWS.ChromeInject.A" nằm trong thư mục add-on của Firefox, Viorel Canja, giám đốc phòng thí nghiệm của BitDefender nói. Phần mềm độc hại sử dụng JavaScript để xác định hơn 100 trang web về tài chính và chuyển tiền, bao gồm Barclays, Wachovia, Bank of America, và PayPal cùng với hàng chục ngân hàng Ý và Tây Ban Nha. Khi nhận ra một trang web, nó sẽ thu thập thông tin đăng nhập và mật khẩu, chuyển tiếp thông tin đó tới một máy chủ ở Nga.

Phần mềm độc hại, mà BitDefender gọi là "Trojan.PWS.ChromeInject.A" nằm trong thư mục add-on của Firefox, Viorel Canja, giám đốc phòng thí nghiệm của BitDefender nói. Phần mềm độc hại sử dụng JavaScript để xác định hơn 100 trang web về tài chính và chuyển tiền, bao gồm Barclays, Wachovia, Bank of America, và PayPal cùng với hàng chục ngân hàng Ý và Tây Ban Nha. Khi nhận ra một trang web, nó sẽ thu thập thông tin đăng nhập và mật khẩu, chuyển tiếp thông tin đó tới một máy chủ ở Nga.

[ĐọC thêm: Làm thế nào để loại bỏ phần mềm độc hại khỏi máy tính Windows của bạn]

Con ngựa Trojan tiếp tục gian lận nhấp chuột, lừa đảo trong đó quảng cáo trên web được nhấp vào quá mức hoặc trong các trường hợp gây hiểu lầm theo thứ tự Joe Stewart, giám đốc phân tích phần mềm độc hại tại SecureWorks, đã viết Joe Anderson, giám đốc phân tích phần mềm độc hại tại SecureWorks, cho biết, phần mềm độc hại có tên là "FFSearcher" là một trong những phần mềm thông minh hơn. trên một blog của công ty.

Con ngựa Trojan tiếp tục gian lận nhấp chuột, lừa đảo trong đó quảng cáo trên web được nhấp vào quá mức hoặc trong các trường hợp gây hiểu lầm theo thứ tự Joe Stewart, giám đốc phân tích phần mềm độc hại tại SecureWorks, đã viết Joe Anderson, giám đốc phân tích phần mềm độc hại tại SecureWorks, cho biết, phần mềm độc hại có tên là "FFSearcher" là một trong những phần mềm thông minh hơn. trên một blog của công ty.

[ĐọC thêm: Cách xóa phần mềm độc hại khỏi PC Windows của bạn]

Một loạt các lỗi dẫn đến việc Dell cung cấp các bo mạch chủ với phần mềm độc hại và công ty đang trong quá trình kiểm tra quá trình thử nghiệm của mình để giải quyết các vấn đề trước khi gửi phần cứng cho khách hàng, hôm thứ Năm cho biết. Các máy chủ PowerEdge có thể chứa sâu W32.Spybot trong bộ nhớ flash. Các vấn đề phần mềm độc hại ảnh hưởng đến một số giới hạn của các bo mạch chủ thay thế trong bốn máy chủ, PowerEdge R310, PowerEdge R410, PowerEdge R510 và PowerEdge T410 mô hình, công ty cho

Một loạt các lỗi dẫn đến việc Dell cung cấp các bo mạch chủ với phần mềm độc hại và công ty đang trong quá trình kiểm tra quá trình thử nghiệm của mình để giải quyết các vấn đề trước khi gửi phần cứng cho khách hàng, hôm thứ Năm cho biết. Các máy chủ PowerEdge có thể chứa sâu W32.Spybot trong bộ nhớ flash. Các vấn đề phần mềm độc hại ảnh hưởng đến một số giới hạn của các bo mạch chủ thay thế trong bốn máy chủ, PowerEdge R310, PowerEdge R410, PowerEdge R510 và PowerEdge T410 mô hình, công ty cho

"Có một chuỗi các lỗi của con người dẫn đến vấn đề, đó nói rằng, chúng tôi đã xác định và thực hiện 16 bước quy trình bổ sung để đảm bảo điều này không xảy ra nữa ", phát ngôn viên của Dell, Jim Hahn, cho biết. không cung cấp thêm chi tiết về các bước được thêm vào để theo dõi và giải quyết các vấn đề đó. Nhưng ông nói rằng tất cả các bo mạch chủ bị ảnh hưởng đã bị loại khỏi chuỗi cung ứng dịch vụ. Phần mềm chống vi-rút hiện tại có chữ ký cập nhật sẽ gắn cờ sự hiện diện của phần mềm độc hại và n